SIEM – надежная защита для банков от хакерских атак
25 августа в Москве состоялась конференция специалистов по IT-безопасности, посвящённая защите банков от хакерских атак. Она была организована журналом «Банковское обозрение», а её название звучало как «SIEM в банковской сфере: автоматизация хаоса». Участники встречи поделились опытом внедрения данного вида ПО и обсудили возникающие при этом проблемы. Массовые сокращения высококвалифицированного банковского IT-персонала привели к тому, что ряды киберкриминала были существенно усилены. Только одна из таких группировок принесла в 2015 году банкам ущерб более 3 млрд рублей.
В последние два года произошёл резкий рост крупномасштабных, скоординированных и хорошо организованных хакерских атак на банки. Такие атаки ставят под угрозу сохранность финансовых активов, безопасность персональных данных и корпоративной конфиденциальной информации, поэтому в предотвращении таких неприятных инцидентов заинтересованы как банки, так и их клиенты. С целью защиты финансовые учреждения используют различные средства: системы обнаружения вторжений (СОВ), системы предотвращения утечек (DLP) и проч., но современные кибермошенники постоянно совершенствуют своё мастерство и уже научились обходить эти преграды.
Для комплексной защиты банковской деятельности используется комбинированное программное обеспечение по управлению событиями информационной безопасности, получившее аббревиатуру SIEM: от SIM, security information management – управление информационной безопасностью и от SEM, security event management – управление событиями безопасности. Его суть – собирать информацию о событиях. Оно позволяет мониторить сетевой трафик, действия пользователей и неопознанных устройств, анализировать инциденты.
Этот термин был введён Марком Николеттом и Амритом Вильямсом из компании Gartner в 2005 году, но в России постепенно стали внедрять SIEM только в последние годы. Причём, основным потребителем этого ПО является банковская сфера, поскольку её участники распоряжаются средствами широких слоёв населения, и системы безопасности банков проходят постоянные надзорные проверки на предмет соответствия требованиям законодательства.
Вчера, 25 августа, IT-специалисты встретились в Москве, чтобы поделиться опытом внедрения SIEM в банках и обсудить имеющие место проблемы. Больше всего безопасников беспокоит отсутствие обязательной сертификации SIEM. Модератор дискуссии Василий Окулесский даже сравнил SIEM-продукты с хирургом, которого пациент (банк) запускает к себе внутрь, ничего не зная о его квалификации. Но, к сожалению, на практике в сертификации оказывается мало смысла из-за непрерывного изменения инфраструктуры, софта, аппаратного оборудования и так далее. Каждое даже самое незначительное изменение сопутствующих систем также требует изменения конфигурации SIEM. Например, при обновлении Microsoft необходимо внести корректировки и в параметры настройки SIEM, чтобы оно подстроилось под новые условия, а значит, сертификат фактически перестает действовать. Другой сложностью при внедрении SIEM является его дороговизна.
Тем не менее, драйверы для внедрения SIEM с каждым днём всё очевиднее. Это и рост киберпреступности, и усложнение информационных систем, и глобализация, и усиление интеграционных процессов. Тимур Зиннятуллин из отдела криптографической защиты информации Транскапиталбанка рассказал, что в конце 2015 – начале 2016 годов увеличилось число атак, когда хакеры проникали через защищённый периметр в автоматизированное рабочее место клиента Банка России и отправляли от имени банков платёжные поручения. В этих случаях не обойтись без таких новых систем как SIEM, которые способны не только обнаруживать, но и предотвращать инциденты нарушения безопасности.
Недавно в зону регулирования ЦБ были введены пенсионные фонды и страховые организации, где, по словам Павла Нагина из Раффайзенбанка, ситуация и вовсе аховая. Банк России объявил непримиримую войну киберпреступности, что находит положительный отклик в банковском сообществе. Г-н Нагин полагает, что 2016–2017 годы станут ренессансом интереса к информационной безопасности, так как сложившаяся ситуация уже представляет угрозу для экономической стабильности. Он также надеется, что законодатели совсем скоро упростят внедрение новых технологий. «Это лишь вопрос времени» – добавил он. С инициативой может выступить как Центральный Банк, так и Торгово-промышленная палата. Первые послабления можно ждать уже в осеннюю сессию Госдумы.
Участники встречи сошлись во мнении о том, что на сегодняшний день SIEM – это некий технологический минимум, который обязательно должен быть у каждого банка. При этом нужно активно вовлекать в банковские бизнес-процессы сотрудников, отвечающих за безопасность, чтобы они могли максимально аргументированно донести до руководства свою точку зрения по поводу необходимости тех или иных новаций, касающихся IT-безопасности. Да и клиентам спокойнее доверять деньги банкам, которые делают безопасность их денежных средств и персональных данных своим приоритетом.